2019年5月13日，网络安全等级保护制度2.0国家标准（以下简称“等保2.0”）正式发布，将于2019年12月1日开始实施。至此，我国网络安全等级保护进入了2.0时代。

开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的提现。作为国家信息安全的基本制度，贯彻落实等级保护2.0是企业义不容辞的信息安全义务，而未落实等保的企业将面临被有关部门责令整改、行政处罚、暂停注册、暂停运营等处罚。

小编对等保2.0的变化进行分析和解读，并结合敏捷科技在数据安全领域的技术和实践经验，为您解读等保2.0时代下的数据安全防护要求，旨在助力企业网络安全防护能力和信息安全管理能力的提升，合理规避风险。

等保2.0的改变与升级

等保2.0标准与等保1.0标准相比，在保持等级保护“五个级别”不变、五个“规定动作”不变、等级保护工作相关参与主体“主体职责”不变的基础上，在如下一些方面进行了改变和升级：

1.标准名称的变化

等保2.0将《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致，意味着等级保护对象与网络安全防护理念等的变化。

2.法律法规的变化

等保2.0法律地位明显提升，从法规条例“国务院147号令”上升到《网络安全法》的法律层面。《中华人民共和国网络安全法》第二十一条要求，国家实行网络安全等级保护制度；第三十一条则要求，关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

3.标准要求的变化

等保1.0标准只有安全通用要求，等保2.0标准在对等保1.0标准基本要求进行优化（删除了一些过时的要求项，对一些要求项进行精简与合理性改写，新增对新型网络攻击行为防范、垃圾邮件防范和个人信息保护等一些新的要求）的同时，针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。

内容的变化

安全通用要求控制点变化

安全通用要求要求项变化

注：安全通用要求是不管等级保护对象的形态如何都必须满足的要求；安全扩展要求则是针对特殊技术场景所提出的特殊保护要求，使用新技术的信息系统需要同时满足安全通用要求和新技术的安全扩展要求。

4.等保定级的变化

（1）定级对象的改变：等保1.0定级的对象是信息系统，等保2.0标准的定级的对象扩展至：基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统，覆盖面更广。

（2）在系统遭到破坏后，对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。

（3）定级对象的安全等级确定更加科学，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，定级更加严格。

5.等保测评的变化

等保2.0标准的测评要求更加严格，第三级以上的系统每年要开展一次测评，测评达到75分以上才算基本符合要求，而且还在测评标准中增加了高风险判例。

6.安全体系的变化

等保2.0标准依然沿用等保1.0标准的“一个中心、三重防护” 的理念，只是从等保1.0标准的被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

通过建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

“数据安全”相关的变化

等保1.0时代，数据安全主要划归在“技术要求-数据安全及备份恢复”条款、“技术要求-应用安全”和“技术要求-主机安全”的要求中。

等保2.0时代，数据安全上升为网络安全空间，数据安全完全属于“安全通用要求-安全计算环境”。

等保2.0中数据安全的要点及技术实现

（以第三级安全要求为例）

安全计算环境是针对边界内部提出的安全控制要求，主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等。其中数据对象的安全保护属于安全计算环境中一个重要的环节。

数据的保护主要包括数据的安全防护和数据的备份恢复，其中数据保密性、数据完整性、数据备份恢复均属于数据的安全防护要点。

对于数据保密性，可利用数据加密技术，对敏感数据做加密处理，保证重要数据在存储过程中的保密性。企业需要通过购买加密软件对重要业务数据进行加密。敏捷数据安全卫士系统DGS采用的是一种主动的智能安全加密策略，在从文件创建到删除的整个生命周期都对其进行智能化的安全保护，且不会改变员工的正常操作模式，在安全性和方便性之间找到了一个非常好的平衡点。

对于数据完整性，可通过加密传输机制等，对数据进行全面的完整性保障。企业对系统管理数据、鉴别信息和重要业务数据在传输和存储过程中能够检测出完整性是否受到破坏，并有必要的恢复措施。敏捷数据安全卫士系统DGS采取全方位、全内容、全过程的数据管理与安全保护手段，为企业的各类电子文件提供全生命期的安全保护和有效管理。

对于数据备份恢复，可通过数据备份机制，实现数据的自动备份。企业的本地数据具有备份和恢复功能，每天完全数据至少备份一次，同时将关键数据定时做异地备份。敏捷数据安全卫士系统DGS可实时抓取系统数据，文件主动备份功能可以自动增量备份核心数据资料。

敏捷科技数据安全卫士系统DGS全面符合企业等保三级的数据完整性、保密性、备份和恢复等安全技术和安全管理要求，从事前预防、事中控制和事后审计对数据进行全生命周期的智能化安全防护，终端数据安全防护、移动端安全防护、数据溯源水印、打印安全控制、内容外发管理、文档安全管理等功能可确保企业信息安全达到全局应用效果。

网络安全等级保护制度2.0的正式发布是中国网络安全保障工作的伟大创举。敏捷科技以《信息安全技术 网络安全等级保护基本要求》为基础，以数据安全为核心，自主可控的加密防护技术为支撑，建立基于等保2.0标准的网络安全防护体系，为企业用户提供一站式等保整改与建设方案及风险评估服务，更高效、更合理地协助各行各业用户的等级保护建设工作，为我国网络安全建设工作做出更大贡献。